Настройка файрвола USG PRO

Настройка файрвола USG PRO, UniFi Network

maja-it

Guest

12.04.2016 06:32:00

@UBNT-MikeD

Привет, я только что получил USG Pro и тестирую разные настройки. Кстати, спасибо за информацию по настройке LAN2. Поскольку я совсем новичок в Ubiquiti, заранее извиняюсь за возможные простые вопросы, которые буду задавать.

Итак, я настроил LAN 1 вместе с VLAN. Хочу проверить, как защитить свои сети так, чтобы сеть A не могла получить доступ к сети B и наоборот. Я делал это на ERL через GUI, но не уверен, как сделать это через CLI.

Еще раз спасибо, буду рад услышать от вас.
С уважением, Эрни

odhadmin

Guest

14.07.2017 20:52:00

А как насчёт в свойствах беспроводной сети... «Применить гостевые политики...? » (если поставить галочку, появляется…) «Включить Captive Portal?» И тогда просто добавьте исключение для доступа. Почему вы заставляете нас ломать голову, чтобы исправить настройку, которую сами и добавили в систему изначально??? Вы пытаетесь запутать нас? К тому же, если бы это делалось у вас на стороне (автоматически), можно было бы вообще иметь две беспроводные сети: одна с captive portal, другая — без. Просто создайте туннель от той сети, настройте правило... Если уж речь о правилах... Я сейчас в отеле, где одна сеть WPA2, с авторизацией по паролю, а другая — с «Captive Portal». Но, очевидно, это не работает. Причина в том, что старые гости всё ещё здесь, и хотят, чтобы новые подключались к этой сети, а старым разрешили спокойно отключаться, не видя новую систему. Но когда я пытаюсь сделать что-то похожее на гостевые ограничения в фаерволе, мне не позволяют просматривать или редактировать гостевые настройки фаервола… или даже просто скопировать их, чтобы выделить отдельный VLAN «Старые гости» от «Новых гостей» и добавить гостевые политики без captive portal. Опять же, проблема решилась бы одним простым решением — той самой дополнительной галочкой. Если только вы, ребята, не боитесь полиции галочек.

di3

Guest

21.05.2016 09:18:00

У вас нет тестовой системы или испытательного стенда? Я могу попробовать смоделировать вашу систему и особенно проверить контроллер 5.03RC2. Но интересно, соответствует ли ваша среда тому, что вы хотите и что вам нужно.

baz_

Guest

21.05.2016 09:11:00

Похоже, да, но поддержка самого контроллера ограничена. Пока не писал им по этому поводу — хочу сначала внести свой вклад в сообщество. Не уверен, получают ли они сначала IP-адрес, нужно проверить. Также собираюсь навестить объект и в ближайшие пару дней полностью обесточить систему.

di3

Guest

21.05.2016 09:05:00

Понятно, и, очевидно, они гарантируют совместимость с Unifi и обеспечивают поддержку? Ты сначала видишь, что у гостя появляются IP-адреса? Спрашиваю, потому что один из моих клиентов пробовал внешний портал для вставки рекламы, и у него не заработало. Было бы здорово сделать сетевой анализ до и после аутентификации.

baz_ Guest	#6 21.05.2016 09:03:00 Контроллер и гостевой порт размещаются на unificloud.co.uk, который предоставлен broadband buyer. Гостевой порт — это стандартный порт, который предоставляет контроллер.

di3 Guest	#7 21.05.2016 09:01:00 Интересно, а где у вас контроллер и гостевой портал? Мне показалось, что проще вынести систему из любой локальной сети, иначе возникают проблемы с доступом к порталу.

baz_ Guest	#8 21.05.2016 08:58:00 Все еще безуспешно, довольно разочарован, надеялся добиться чего-то, что казалось легкодостижимым.

baz_ Guest	#9 27.04.2016 14:33:00 У меня основная гостевая вайфай была настроена на отдельном VLAN, сейчас я это отключил. Позже, когда буду на месте, попробую включить применение гостевых политик (captive portal, аутентификация гостя, доступ).

di3

Guest

#10

27.04.2016 13:53:00

@baz_

=> Сейчас главное — убедиться, что ваша сеть/VLAN правильно настроена и объявлена, а также проверить статус каждой из них. Затем проверить, как WLAN (SSID) сопоставляется с VLAN. И наконец, убедиться, что гостевая WLAN имеет доступ в интернет без гостевых политик, а уже ПОТОМ включать гостевой портал и смотреть, как он работает.

baz_

Guest

#11

27.04.2016 13:44:00

NetworksWLANGuest portal
LAN name
IP range
VLAN
Type
SSID
Guest
Network type
Behavior

Main_Lan
192.168.20.2/24
1
native
CORPORATE
Main
no
Not Applicable
Not Applicable

Guest_Lan
192.168.1.1/24
20
GUEST
Guest
yes
restricted network
guest with portal

Classroom
172.16.0.1/25
30
GUEST
Studyblock 1
yes
authorized network
guest without portal

Meetingrooms
172.16.2.1/25
31
GUEST
Studyblock 2
yes
authorized network
guest without portal

Возможно, я забыл поставить галочку "Применить гостевые политики" (захватывающий портал, аутентификация гостя, доступ).

di3

Guest

#12

27.04.2016 13:36:00

@baz_
=> Я не уверен, что ты сейчас в правильной ветке, так как здесь нет m8.
Во-первых, твой диапазон VLAN теперь отличается от изначального, возможно, это ошибка конфигурации.
Во-вторых, ты подготовил excel-файл или таблицу, как я показывал? Это поможет избежать неправильных настроек и всё заработает без проблем.
В-третьих, где твой портал? Похоже, что ты размещаешь гостевой портал на VLAN, который, возможно, недоступен.

baz_ Guest	#13 27.04.2016 13:27:00 Привет, дружище, к сожалению, у меня пока мало удачи с этим 🙁 USG выдаёт правильные IP-адреса и прочее, но никто не может выйти в интернет 🙁 Как только я отключаю VLAN — интернет работает отлично, но при этом люди всё равно имеют доступ к остальной сети 🙁 Я добавил 172.16.0.1/25 и 172.16.2.1/25 в разрешённые подсети, а 192.168.0.0/16 и 10.0.0.0/8 — в ограниченные.

Читают тему (гостей: 1)